Vulnerabilidad de Skype permite la elevación de privilegios y parcharla no es fácil

El instalador de actualizaciones de Skype tiene una vulnerabilidad que de ser explotada permitiría la elevación de privilegios a nivel de administrador, con los cuales el atacante podría hacer todo tipo de acciones en el sistema vulnerado.

El problema es que Microsoft, dueño de la popular aplicación para llamadas de audio y video, y de chat, ha dicho que la solución implica un gran trabajo de re-escritura de código, por lo que en lugar de parche es mejor una nueva versión de Skype. Es decir, la vulnerabilidad está presente y se desconoce cuándo salga la nueva versión de Skype que la solucione.

El investigador de seguridad Stefan Kanthak descubrió la vulnerabilidad y la reportó en septiembre de 2017 a Microsoft.

Un atacante podría explotar la vulnerabilidad a través del secuestro DLL, descargando y colocando un archivo DLL malicioso en una carpeta temporal de la PC con Windows y renombrar el archivo para que coincida con una DLL legítima que pueda ser modificada por un usuario sin privilegios de cuenta especiales.

Aunque es un ataque a sistemas Windows, los secuestros DLL también pueden ocurrir en sistemas Mac y Linux.

Deja un comentario